Um den Netzwerkverkehr zu überwachen, z. B. zur Analyse des Online-Verhaltens von Benutzern, zur Überwachung von abnormalem Datenverkehr und zur Überwachung von Netzwerkanwendungen, müssen Sie den Netzwerkverkehr erfassen. Die Erfassung des Netzwerkverkehrs kann jedoch ungenau sein. Tatsächlich müssen Sie den aktuellen Netzwerkverkehr kopieren und an das Überwachungsgerät senden. Ein Netzwerksplitter, auch bekannt als Netzwerk-TAP, erfüllt genau diese Aufgabe. Werfen wir einen Blick auf die Definition von Netzwerk-TAP:
I. Ein Network Tap ist ein Hardwaregerät, das einen Zugriff auf die über ein Computernetzwerk fließenden Daten ermöglicht. (aus Wikipedia)
II. ANetzwerk-Tap, auch Test Access Port genannt, ist ein Hardwaregerät, das direkt an ein Netzwerkkabel angeschlossen wird und Netzwerkkommunikation an andere Geräte sendet. Netzwerksplitter werden häufig in Netzwerk-Intrusion-Detection-Systemen (IPS), Netzwerkdetektoren und Profilern verwendet. Die Replikation der Kommunikation auf Netzwerkgeräte erfolgt heute üblicherweise über einen Switching-Port-Analyzer (Span-Port), der beim Netzwerk-Switching auch als Port-Mirroring bezeichnet wird.
III. Netzwerk-Taps dienen der Einrichtung permanenter Zugriffsports für die passive Überwachung. Ein Tap, auch Test Access Port genannt, kann zwischen zwei beliebigen Netzwerkgeräten wie Switches, Routern und Firewalls eingerichtet werden. Er dient als Zugriffsport für Überwachungsgeräte zur Inline-Datenerfassung, darunter Intrusion Detection Systems, Intrusion Prevention Systems im passiven Modus, Protokollanalysatoren und Remote-Monitoring-Tools. (von NetOptics)
Aus den drei oben genannten Definitionen können wir grundsätzlich mehrere Merkmale von Network TAP ableiten: Hardware, Inline, transparent
Hier ist ein Blick auf diese Funktionen:
1. Es handelt sich um eine unabhängige Hardware und hat daher keinen Einfluss auf die Auslastung vorhandener Netzwerkgeräte, was gegenüber der Portspiegelung große Vorteile bietet.
2. Es handelt sich um ein Inline-Gerät. Einfach ausgedrückt muss es mit dem Netzwerk verbunden werden, was verständlich ist. Dies birgt jedoch auch den Nachteil, dass eine Fehlerquelle entsteht. Da es sich um ein Online-Gerät handelt, muss das aktuelle Netzwerk zum Zeitpunkt der Bereitstellung je nach Bereitstellungsort unterbrochen werden.
3. Transparent bezieht sich auf den Zeiger auf das aktuelle Netzwerk. Nach dem Shunt hat der Zugriff auf das Netzwerk für alle Geräte keine Auswirkungen auf das aktuelle Netzwerk, da es für sie völlig transparent ist. Natürlich enthält es auch den vom Shunt gesendeten Netzwerkverkehr an die Überwachungsgeräte. Das Überwachungsgerät ist für das Netzwerk transparent. Es ist, als ob Sie eine neue Steckdose anschließen würden. Für andere vorhandene Geräte passiert nichts, auch nicht, wenn Sie das Gerät schließlich entfernen und sich plötzlich an das Gedicht „Winke mit dem Ärmel und nicht mit einer Wolke“ erinnern …
Viele kennen Port-Mirroring. Ja, Port-Mirroring kann den gleichen Effekt erzielen. Hier ist ein Vergleich zwischen Netzwerk-Taps/Divertern und Port-Mirroring:
1. Da der Port des Switches selbst einige fehlerhafte und zu kleine Pakete filtert, kann die Portspiegelung nicht garantieren, dass der gesamte Datenverkehr empfangen werden kann. Der Shunter gewährleistet jedoch die Integrität der Daten, da diese auf der physischen Ebene vollständig „kopiert“ werden.
2. In Bezug auf die Echtzeitleistung kann die Portspiegelung bei einigen Low-End-Switches zu Verzögerungen führen, wenn der Datenverkehr auf die Spiegelports kopiert wird, und es kommt auch zu Verzögerungen, wenn 10/100-m-Ports auf GIGA-Ports kopiert werden.
3. Port-Mirroring erfordert, dass die Bandbreite eines gespiegelten Ports größer oder gleich der Summe der Bandbreiten aller gespiegelten Ports ist. Diese Anforderung wird jedoch möglicherweise nicht von allen Switches erfüllt.
4. Die Portspiegelung muss auf dem Switch konfiguriert werden. Sobald die zu überwachenden Bereiche angepasst sind, muss der Switch neu konfiguriert werden.
Beitragszeit: 05.08.2022
